WebSEAL: Průvodce administrátora

Transkript

1 IBM Tivoli Access Manager WebSEAL: Průvodce administrátora Verze 4.1 SC

2

3 IBM Tivoli Access Manager WebSEAL: Průvodce administrátora Verze 4.1 SC

4 Poznámka Než začnete používat uvedené informace a produkt, o který se opírají, přečtěte si informace uvedené v části Dodatek D, Poznámky, na stránce 337. Páté vydání (Srpen 2003) Toto vydání nahrazuje GC Copyright International Business Machines Corporation 1999, Všechna práva vyhrazena.

5 Obsah Úvod xi Pro koho je určena tato kniha xi Co tato kniha obsahuje xi Publikace xii Informace o vydání xiii Základní informace xiii Informace o WebSEAL xiii Informace o zabezpečení Webu xiii Reference pro vývojáře xiv Technické dodatky xiv Související publikace xiv Online přístup k publikacím xvi Objednání publikací xvii Dostupnost xvii Kontakt na softwarovou podporu xvii Konvence používané v této knize xvii Konvence typu písma xvii Rozdíly v operačních systémech xviii Kapitola 1. Přehled produktu IBM Tivoli Access Manager WebSEAL Úvod do produktů IBM Tivoli Access Manager a WebSEAL Vysvětlení bezpečnostního modelu produktu Tivoli Access Manager Prostor chráněných objektů Definice a použití politik ACL a POP Administrativa politiky: rozhraní Web Portal Manager Ochrana webového prostoru pomocí serveru WebSEAL Plánování a implementace bezpečnostní politiky Určení typů obsahu a úrovní zabezpečení Vysvětlení autentizace serveru WebSEAL Cíle autentizace Autentizovaný a neautentizovaný přístup ke zdrojům Struktura paměti cache pro relace/pověření serveru WebSEAL Vysvětlení spojení WebSEAL Spojení WebSEAL a škálovatelnost webového serveru Kapitola 2. Základní konfigurace serveru Obecné informace o serveru Kořenový adresář instalace produktu WebSEAL Spuštění a zastavení serveru WebSEAL Server WebSEAL znázorněný v prostoru chráněných objektů Server WebSEAL vrací odpovědi ve formátu HTTP/ Soubor protokolu serveru WebSEAL Používání konfiguračního souboru serveru WebSEAL Konfigurační soubor webseald.conf Kořenový adresář serveru WebSEAL Konfigurace komunikačních parametrů Konfigurace serveru WebSEAL pro požadavky HTTP Konfigurace serveru WebSEAL pro požadavky HTTPS Omezení připojení z určitých verzí SSL Parametry pro nastavení časového limitu komunikace HTTP/HTTPS Další parametry pro časový limit serveru WebSEAL Správa webového prostoru Kořenový adresář stromu webových dokumentů Konfigurace indexování adresářů Windows: Pojmenování souborů pro programy CGI Copyright IBM Corp. 1999, 2002 iii

6 Spustitelné UNIXové soubory na hostitelském systému serveru WebSEAL Konfigurace ukládání webových dokumentů do paměti cache Zadání typů MIME dokumentů pro filtrování URL Správa přizpůsobených HTTP stránek s chybovými zprávami Podpora maker pro HTTP stránky s chybovými zprávami Správa přizpůsobených stránek správy účtů Parametry a hodnoty přizpůsobené stránky Popisy přizpůsobených HTML stránek Podpora maker pro stránky správy účtů Podpora více lokalizací pro webové služby Správa certifikátů klienta a serveru Typy souborů databáze klíčů produktu GSKit Konfigurace parametrů databáze klíčů Používání obslužného programu správy certifikátů ikeyman Konfigurace kontroly CRL Konfigurace paměti cache CRL Konfigurace předvoleného protokolování HTTP Aktivace a zakázání protokolování HTTP Určení typu časového označení Určení prahových hodnot obnovy souborů protokolu Určení četnosti zarovnávání vyrovnávacích pamětí souboru protokolu Obecný formát protokolu protokolu HTTP (pro soubor request.log) Zobrazení souboru request.log Zobrazení souboru agent.log Zobrazení souboru referer.log Konfigurace protokolování HTTP pomocí protokolování událostí Protokolování zpráv obslužnosti serveru WebSEAL Soubory prověřovacích záznamů serveru WebSEAL Konfigurace souborů prověřovacích záznamů Záznamy monitorování HTTP Záznamy monitorování autentizace Kapitola 3. Pokročilá konfigurace serveru Konfigurace předvolené úrovně zabezpečení Konfigurace QOP pro jednotlivé hostitele a sítě Konfigurace aktualizací a systému výzev autorizační databáze Konfigurace naslouchání upozorněním o aktualizaci Konfigurace systému výzev autorizační databáze Správa alokace pracovních vláken Konfigurace pracovních vláken serveru WebSEAL Alokace pracovních vláken pro spojení (spravedlnost spojení) Replikace předřazených serverů WebSEAL Konfigurace více instancí serveru WebSEAL Přehled konfigurace Konfigurace více instancí serveru WebSEAL na operačním systému UNIX Konfigurace více instancí serveru WebSEAL na operačním systému Windows Odkonfigurování více instancí serveru WebSEAL Příkazy pro spuštění, zastavení, opětovné spuštění a dotaz na stav serveru Konfigurace přepnutí uživatele Přehled funkce přepnutí uživatele Procedura konfigurace Používání přepnutí uživatele Další funkční vlastnosti přepnutí uživatele Vývoj přizpůsobené služby CDAS pro přepnutí uživatele Konfigurace ukládání požadavku na straně serveru do paměti cache serveru WebSEAL Prostředí Proces ukládání do paměti cache na straně serveru Konfigurace parametrů pro ukládání do paměti cache na straně serveru Poznámky a omezení Práce se znaky zakódovanými pomocí UTF Předcházení zranitelnosti způsobené skriptováním napříč stranami iv IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

7 Prostředí Konfigurace filtrování řetězců URL Potlačení totožnosti serveru Konfigurace kryptografického hardwaru pro šifrování a ukládání klíčů Podmínky a předpoklady Konfigurace serveru WebSEAL pro kryptografický hardware používající rozhraní BHAPI Konfigurace serveru WebSEAL pro kryptografický hardware používající rozhraní PKCS# Nástroje pro určování problémů pro server WebSEAL Kapitola 4. Bezpečnostní politika produktu WebSEAL Politiky ACL specifické pro server WebSEAL /WebSEAL/<hostitel> /WebSEAL/<hostitel>/<soubor> Oprávnění ACL serveru WebSEAL Předvolená politika ACL pro /WebSEAL Platné znaky pro jména ACL Politika pro přihlášení třikrát a dost Politika uzamčení účtů u serverů WebSEAL s vyvažováním zatížení Syntaxe příkazu Politika odolnosti hesla Nastavení politiky odolnosti hesla pomocí obslužného programu pdadmin Syntaxe příkazu Příklady platného a neplatného hesla Nastavení pro určitého uživatele a globální nastavení Politika POP odolnosti autentizace (zvýšení) Konfigurace úrovní pro zvýšenou autentizaci Aktivace zvýšené autentizace Formulář pro přihlášení pomocí zvýšené autentizace Algoritmus zvýšené autentizace Poznámky a omezení zvýšené autentizace Rozlišení mezi zvýšenou a vícefaktorovou autentizací Metoda autentizace pomocí POP založená na síti Konfigurace úrovní autentizace Určení IP adres a rozsahů Zablokování zvýšené autentizace pomocí IP adresy Algoritmus autentizace založené na síti Poznámky a omezení autentizace založené na síti Úroveň zabezpečení politiky POP Zacházení s neautentizovanými uživateli (HTTP / HTTPS) Zpracování požadavku od anonymního klienta Přinucení uživatele, aby se přihlásil Použití neautentizovaného HTTPS Řízení neautentizovaných uživatelů pomocí politik ACL/POP Kapitola 5. Autentizace produktu WebSEAL Vysvětlení procesu autentizace Podporované typy dat relace Podporované metody autentizace Správa stavu relace Přehled stavu relace Přehled paměti cache pro relace produktů GSKit a WebSEAL Konfigurace paměti cache pro ID relací SSL produktu GSKit Konfigurace paměti cache pro relace/pověření serveru WebSEAL Udržování stavu relace pomocí cookies relace Určování platných typů dat ID relace Konfigurace failover cookies Přehled konfigurace autentizace Parametry lokální autentizace Parametry externí uživatelské autentizace CDAS Přednastavená konfigurace autentizace serveru WebSEAL Obsah v

8 Konfigurace několika metod autentizace Výzva k přihlášení Příkazy pro odhlášení a změnu hesla Zpracování následující po změně hesla Konfigurace Základní autentizace Aktivace a zablokování Základní autentizace Nastavení jména sféry Konfigurace mechanismu pro Základní autentizaci Podmínky konfigurace Konfigurace autentizace pomocí formulářů Aktivace a zablokování autentizace pomocí formulářů Konfigurace mechanismu pro autentizaci pomocí formulářů Podmínky konfigurace Přizpůsobení HTML formulářů s odpovědí Konfigurace autentizace pomocí certifikátů klienta Prostředí: Vzájemná autentizace pomocí certifikátů Testovací certifikát serveru WebSEAL Aktivace a zablokování autentizace pomocí certifikátů Konfigurace mechanismu pro autentizaci pomocí certifikátů Konfigurace autentizace pomocí HTTP hlaviček Aktivace a zablokování autentizace pomocí HTTP hlaviček Určení typů hlaviček Konfigurace mechanismu pro autentizaci pomocí HTTP hlaviček Podmínky konfigurace Konfigurace autentizace pomocí IP adres Aktivace a zablokování autentizace pomocí IP adresy Konfigurace mechanismu pro autentizaci pomocí IP adresy Konfigurace autentizace pomocí tokenů Aktivace a zablokování autentizace pomocí tokenů Konfigurace mechanismu pro autentizaci pomocí tokenů Konfigurace serveru WebSEAL, aby používal knihovnu klienta SecurID Podpora agentů MPA (Multiplexing Proxy Agents) Platné typy dat relací a metody autentizace Průběh procesu autentizace pro MPA a několik klientů Aktivace a zablokování autentizace pomocí MPA Vytvoření účtu uživatele pro MPA Přidání účtu MPA do skupiny webseal-mpa-servers Omezení autentizace pomocí MPA Konfigurace opětovné autentizace založené na bezpečnostní politice Podmínky ovlivňující opětovnou autentizaci pomocí POP Vytvoření a použití opětovné autentizace pomocí POP Konfigurace vynulování a rozšíření doby trvání záznamu v paměti cache pro relace Přizpůsobení formulářů pro přihlášení pro potřeby opětovné autentizace Konfigurace opětovné autentizace založené na politice nečinnosti relace Podmínky ovlivňující opětovnou autentizaci vyvolanou nečinností Aktivace opětovné autentizace vyvolané nečinností Vynulování a rozšíření hodnoty doby trvání záznamu v paměti cache pro relace Přizpůsobení formulářů pro potřeby opětovné autentizace Konfigurace automatického přesměrování na domovskou stránku při přihlášení Průběh procesu automatického přesměrování Podmínky ovlivňující automatické přesměrování Konfigurace přizpůsobeného URL Aktivace a zablokování automatického přesměrování Kapitola 6. Řešení pro jednotné přihlášení mezi doménami Vysvětlení autentizace pro CDSSO Přizpůsobení autentizace pro jednotné přihlášení Funkce a požadavky řešení CDSSO Průběh procesu autentizace pro řešení CDSSO s rozhraním CDMF Konfigurace autentizace pro CDSSO Shrnutí konfigurace CDSSO vi IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

9 Aktivace a zablokování autentizace pro CDSSO Konfigurace mechanismu autentizace pro jednotné přihlášení Zašifrování dat autentizačního tokenu Konfigurace časové značky tokenu Konfigurace jména označení tokenu Vytvoření HTML odkazu pro CDSSO Ochrana autentizačního tokenu Umožnění kompatibility s předchozími vydáními Vysvětlení jednotného přihlášení pomocí e-community Funkce a požadavky jednotného přihlášení pomocí e-community Průběh procesu e-community Vysvětlení e-community cookie Vysvětlení vouch for požadavku a odpovědí Vysvětlení vouch for tokenu Konfigurace jednotného přihlášení pomocí e-community Shrnutí konfigurace e-community Aktivace a zablokování autentizace pro e-community Zadání jména e-community Konfigurace mechanismu autentizace pro jednotné přihlášení Zašifrování vouch for tokenu Konfigurace jména označení vouch for tokenu Určení hlavního autentizačního serveru (MAS) Zadání vouch for URL Konfigurace hodnot doby trvání tokenu a e-community cookie (ec-cookie) Umožnění kompatibility s předchozími vydáními Kapitola 7. Spojení WebSEAL Přehled spojení WebSEAL Umístění a formát databáze spojení Použití hrubě strukturovaného řízení přístupu: shrnutí Použití jemně strukturovaného řízení přístupu: shrnutí Pokyny pro vytváření spojení WebSEAL Další odkazy na spojení WebSEAL Použití programu pdadmin k vytvoření spojení Konfigurace základního spojení WebSEAL Vytvoření spojení TCP typu Vytvoření spojení SSL typu Přidání dalších serverů typu back-end ke spojení Vzájemně autentizovaná SSL spojení Server WebSEAL potvrdí certifikát serveru typu back-end Shoda rozlišovacích jmen (DN - Distinguished Name) Server WebSEAL se autentizuje pomocí certifikátu klienta Server WebSEAL se autentizuje pomocí hlavičky Základní autentizace Manipulace s informacemi o totožnosti klienta ve spojeních Vytvoření TCP a SSL proxy spojení Spojení WebSEAL-na-WebSEAL přes protokol SSL Modifikace URL ke zdrojům typu back-end Vysvětlení typů cest používaných v URL Filtrování URL v odpovědích Zpracování URL v požadavcích Práce s cookies z více serverů přes více spojení -j Další volby spojení Vynutit nové spojení ( f) Dodání totožnosti klienta v HTTP hlavičkách ( c) Dodání IP adres klienta v HTTP hlavičkách ( r) Omezení velikosti HTTP hlaviček generovaných serverem WebSEAL Předání cookies relace do spojených portálových serverů ( k) Podpora URL nezávislých na velikosti písma ( i) Podpora stavových spojení ( s, u) Uvedení UUID serveru typu back-end pro stavová spojení ( u) Spojení k systémům souborů Windows ( w) Obsah vii

10 Technické poznámky k používání spojení WebSEAL Uchycení více serverů ke stejnému spojení Výjimky ve vynucování oprávnění přes spojení Autentizace pomocí certifikátů přes spojení Práce s cookies domény Používání programu query_contents servery třetích stran Instalace komponent query_contents Instalace programu query_contents na UNIXových serverech třetích stran Instalace programu query_contents na serverech Win32 třetích stran Přizpůsobení query_contents Zabezpečení query_contents Kapitola 8. Řešení pro jednotné přihlášení prostřednictvím spojení Konfigurace hlaviček Základní autentizace pro jednotné přihlášení Koncepty jednotného přihlášení (Single sign-on - SSO) Dodání totožnosti klienta v BA hlavičkách Dodání totožnosti klienta a generického hesla Přeposílání informací o originální BA hlavičce klienta Odstranění informací o BA hlavičce klienta Dodání jmen uživatelů a hesel z GSO Používání globálního přihlášení (GSO - global sign-on) Mapování informací o autentizaci Konfigurace spojení WebSEAL pro GSO Konfigurace paměti cache GSO Konfigurace jednotného přihlášení k produktu IBM WebSphere (LTPA) Konfigurace spojení LTPA Konfigurace paměti cache LTPA Technické poznámky k jednotnému přihlášení pomocí LTPA Konfigurace autentizace pomocí formulářů pro jednotné přihlášení Prostředí a cíle Průběh procesu jednotného přihlášení pomocí formulářů Požadavky na podporu aplikace Vytvoření konfiguračního souboru pro jednotné přihlášení pomocí formulářů Aktivace jednotného přihlášení pomocí formulářů Příklad konfiguračního souboru pro IBM HelpNow Kapitola 9. Integrace aplikací Podpora programování CGI Windows: Podpora proměnných prostředí WIN Podpora aplikací na straně serveru typu back-end Osvědčené metody spojení pro integraci aplikací Dodání úplné informace hlavičky HOST pomocí -v Podpora standardního filtrování absolutních URL Vytváření přizpůsobené personifikované služby Konfigurace serveru WebSEAL pro personifikovanou službu Příklad personifikované služby Aktivace nároků dynamického obchodu (příznak/hodnota) Vytváření obchodních nároků z dat LDAP Vkládání dat pověření do HTTP hlavičky Udržování stavu relace mezi klientem a aplikací typu back-end Prostředí správy relací uživatelů Aktivace správy ID relací uživatelů Vkládání dat pověření do HTTP hlavičky Ukončení relací uživatele Poskytování řízení přístupu k dynamickým URL Komponenty dynamického URL Mapování objektů ACL a POP na dynamická URL Aktualizace serveru WebSEAL pro dynamická URL Rozlišování dynamických URL v prostoru objektů Konfigurace omezení požadavků POST viii IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

11 Souhrn a technické poznámky Příklad dynamického URL: Travel Kingdom Aplikace Rozhraní Bezpečnostní politika Zabezpečení klientů Řízení přístupu Závěr Dodatek A. Reference konfiguračního souboru serveru WebSEAL Pokyny pro konfiguraci stanz Obecné pokyny Předvolené hodnoty Řetězce Definované řetězce Seznamy Jména souborů Celočíselné proměnné Boolovské hodnoty Změna nastavení konfigurace Uspořádání stanz Konfigurace serveru Registr uživatelů LDAP Active Directory IBM Lotus Domino Protokol SSL (Secure Socket Layer) Autentizace Mechanismy autentizace Knihovny autentizace Opětovná autentizace Autentizace při přepnutí při selhání Jednotné přihlášení mezi doménami Jednotné přihlášení pomocí e-community Úroveň zabezpečení Relace Obsah Správa obsahu Správa účtů Automatické přesměrování Lokální CGI Ikony Ukládání obsahu do paměti cache Typy MIME obsahu Kódování obsahu Spojení Správa spojení Filtrování dokumentů Filtrování správce událostí Filtrování schémat Filtrování typů MIME a hlaviček Filtrování skriptů Paměť cache pro GSO (Global Sign-On) Paměť cache pro autentizaci pomocí LTPA (Lightweight Third Party Authentication) Protokolování Monitorování Databáze politik Služby nároků Server politik Dodatek B. Reference spojení WebSEAL Obsah ix

12 Použití programu pdadmin k vytvoření spojení Příkazy pro spojení Vytvořit nové spojení pro první server Přidání dalšího serveru ke stávajícímu spojení Dodatek C. Použití obslužného programu pdbackup pro produkt WebSEAL Funkční vlastnosti Zálohování dat: Obnova dat Syntaxe Příklady Příklady pro operační systém UNIX Příklady pro operační systém Windows Obsah souboru amwebbackup.lst Další data pro zálohování Dodatek D. Poznámky Ochranné známky Rejstřík x IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

13 Úvod Pro koho je určena tato kniha Co tato kniha obsahuje Vítejte v knize IBM Tivoli Access Manager WebSEAL: Průvodce administrátora. Produkt IBM Tivoli Access Manager WebSEAL je správce zabezpečení zdrojů pro zdroje založené na webu v rámci zabezpečené domény produktu Tivoli Access Manager. Server WebSEAL je vysoce výkonný vícevláknový webový server, který používá jemně strukturovanou bezpečnostní politiku, aby zabezpečil prostor webových objektů. Server WebSEAL může nabídnout řešení pro jednotné přihlášení a zahrnout zdroje webových aplikačních serverů typu back-end do své bezpečnostní politiky. Tento průvodce administrátora nabízí úplnou sadu procedur a referenčních informací pro správu zdrojů vaší zabezpečené webové domény. Tento průvodce vám dále poskytuje hodnotné informace o prostředí a konceptech řady funkčních vlastností produktu WebSEAL. IBM Tivoli Access Manager (Tivoli Access Manager) je základní software, který je nezbytný, aby bylo možné pracovat s aplikacemi v produktové řadě IBM Tivoli Access Manager. Umožňuje integraci aplikací IBM Tivoli Access Manager, které nabízí širokou paletu řešení autorizace a správy. Jsou-li prodány jako integrované řešení, mohou tyto produkty nabídnout řešení pro správu řízení přístupu, které centralizuje síť a bezpečnostní politiku pro e-business aplikace. Poznámka: IBM Tivoli Access Manager je nové jméno dříve uvolněného softwaru zvaného Tivoli SecureWay Policy Director. Uživatelům, kteří dobře znali software a dokumentaci produktu Tivoli SecureWay Policy Director, bychom chtěli dát vědět, že termín Management Server (server správy) je nyní nahrazen termínem Policy Server (server politik). Tento průvodce je určen pro systémové administrátory odpovědné za konfiguraci a správu prostředí produktu Tivoli Access Manager WebSEAL. Čtenáři této knihy by měli znát: v operační systémy na platformě PC a operační systém UNIX v databázovou architekturu a koncepty v správu zabezpečení ochrany dat v protokoly Internetu, včetně HTTP, TCP/IP, FTP (file transfer protocol) a telnetu v Lightweight Directory Access Protocol (LDAP) a adresářové služby v podporovaný registr uživatelů v autentizaci a autorizaci Pokud používáte komunikaci SSL (Secure Sockets Layer), měli byste také znát protokol SSL, výměnu klíčů (veřejných a soukromých), digitální podpisy, šifrovací algoritmy a vydavatele certifikátů. v Kapitola 1: Přehled produktu IBM Tivoli Access Manager WebSEAL Copyright IBM Corp. 1999, 2002 xi

14 Tato kapitola vám představí důležité koncepty a funkční vlastnosti produktu WebSEAL, jako např.: organizování a zabezpečení vašeho prostoru objektů, autentizaci, získání pověření a spojení WebSEAL. v Kapitola 2: Základní konfigurace serveru Tato kapitola je technickou referencí pro obecné úlohy konfigurace produktu WebSEAL, včetně používání konfiguračního souboru produktu WebSEAL, správy webového prostoru, správy certifikátů a konfigurace protokolování. v Kapitola 3: Pokročilá konfigurace serveru Tato kapitola je technickou referencí pro pokročilé úlohy konfigurace produktu WebSEAL, včetně konfigurace více instancí serveru WebSEAL, konfigurace funkčnosti pro přepínání uživatelů, správy alokace pracovních vláken a konfigurace aktualizací a systému výzev autorizační databáze. v Kapitola 4: Bezpečnostní politika produktu WebSEAL Tato kapitola obsahuje podrobné technické procedury pro přizpůsobení bezpečnostní politiky na WebSEAL serveru, včetně politik ACL a POP, úrovně zabezpečení, politiky zvýšené autentizace, politiky autentizace založené na síti, politiky pro přihlášení třikrát a dost a politiky odolnosti hesla. v Kapitola 5: Autentizace produktu WebSEAL Tato kapitola obsahuje podrobné technické procedury pro nastavení produktu WebSEAL tak, aby mohl spravovat řadu politik autentizace, včetně jména a hesla uživatele, certifikátů klienta, SecurID token passcode, speciálních dat HTTP hlavičky a opětovné autentizace. v Kapitola 6: Řešení pro jednotné přihlášení mezi doménami Tato kapitola probírá řešení pro jednotné přihlášení mezi doménami, týkající se vnější strany konfigurace WebSEAL proxy mezi klientem a serverem WebSEAL. v Kapitola 7: Spojení WebSEAL Tato kapitola je úplnou technickou referencí pro nastavení a používání spojení WebSEAL. v Kapitola 8: Řešení pro jednotné přihlášení prostřednictvím spojení Tato kapitola probírá řešení pro jednotné přihlášení, týkající se vnitřní strany konfigurace WebSEAL proxy mezi WebSEAL serverem a spojeným aplikačním serverem typu back-end. v Kapitola 9: Integrace aplikací Tato kapitola prozkoumává řadu schopností produktu WebSEAL, týkajících se integrace funkčních vlastností aplikací třetích stran. v Dodatek A: Reference konfiguračního souboru WebSEAL v Dodatek B: Reference spojení WebSEAL v Dodatek C: Použití obslužného programu pdbackup pro produkt WebSEAL v Dodatek D: Poznámky Publikace Knihovna produktu Tivoli Access Manager je rozdělena do následujících kategorií: v Informace o vydání na stránce xiii v Základní informace na stránce xiii v Informace o WebSEAL na stránce xiii v Informace o zabezpečení Webu na stránce xiii v Reference pro vývojáře na stránce xiv v Technické dodatky na stránce xiv xii IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

15 Informace o vydání v IBM Tivoli Access Manager Karta Čtěte jako první GI (am41_readme.pdf) Obsahuje informace pro instalaci a začátek práce s produktem Tivoli Access Manager. v IBM Tivoli Access Manager Release Notes SC (am41_relnotes.pdf) Poskytuje nejnovější informace např. o omezeních softwaru, pomocných opravách problémů, nebo o aktualizacích dokumentace. Základní informace v IBM Tivoli Access Manager Base Installation Guide SC (am41_install.pdf) Vysvětluje, jak nainstalovat, nakonfigurovat a jak provést aktualizaci softwaru Tivoli Access Manager, včetně rozhraní Web Portal Manager. v IBM Tivoli Access Manager Base: Administrativní příručka SC (am41_admin.pdf) Popisuje koncepty a procedury používání služeb produktu Tivoli Access Manager. Poskytuje instrukce pro provádění úloh z rozhraní Web Portal Manager a pro provádění úloh pomocí příkazu pdadmin. Informace o WebSEAL v IBM Tivoli Access Manager WebSEAL Installation Guide SC (amweb41_install.pdf) Poskytuje instrukce pro instalaci, konfiguraci a odstranění serveru WebSEAL a sady pro vývoj aplikací WebSEAL. v IBM Tivoli Access Manager WebSEAL: Průvodce administrátora SC (amweb41_admin.pdf) Poskytuje podkladové materiály, administrativní procedury a informace o technických odkazech, které se používají ke správě zdrojů ve vaší zabezpečené webové doméně pomocí serveru WebSEAL. Informace o zabezpečení Webu v IBM Tivoli Access Manager for WebSphere Application Server: Průvodce uživatele SC (amwas41_user.pdf) Poskytuje instrukce pro instalaci, odstranění a administrativu produktu Tivoli Access Manager for IBM WebSphere Application Server. v IBM Tivoli Access Manager for WebLogic Server User s Guide SC (amwls41_user.pdf) Poskytuje instrukce pro instalaci, odstranění a administrativu produktu Tivoli Access Manager for BEA WebLogic Server. v IBM Tivoli Access Manager Plug-in for Edge Server User s Guide SC (amedge41_user.pdf) Popisuje, jak nainstalovat, nakonfigurovat a administrovat aplikaci Plug-in for IBM WebSphere Edge Server. v IBM Tivoli Access Manager Plug-in for Web Servers: Průvodce uživatele SC (amws41_user.pdf) Poskytuje instrukce pro instalaci, administrativní procedury a informace o technických odkazech, týkající se zabezpečení vaší webové domény pomocí plug-in programu pro webové servery. Úvod xiii

16 Reference pro vývojáře v IBM Tivoli Access Manager Authorization C API Developer s Reference SC (am41_authc_devref.pdf) Obsahuje referenční materiál, který popisuje, jak používat autorizační rozhraní C API produktu Tivoli Access Manager a servisní plug-in rozhraní produktu Access Manager pro přidání zabezpečení produktu Tivoli Access Manager do aplikací. v IBM Tivoli Access Manager Authorization Java Classes Developer s Reference SC (am41_authj_devref.pdf) Poskytuje referenční informace, jak pomocí implementace autorizačního rozhraní API v jazyce Java povolit, aby aplikace používala zabezpečení produktu Tivoli Access Manager. v IBM Tivoli Access Manager Administration C API Developer s Reference SC (am41_adminc_devref.pdf) Poskytuje referenční informace, jak pomocí administrativního rozhraní API povolit, aby aplikace prováděla administrativní úlohy produktu Tivoli Access Manager. Tento dokument popisuje implementaci tohoto administrativního rozhraní API v jazyce C. v IBM Tivoli Access Manager Administration Java Classes Developer s Reference SC (am41_adminj_devref.pdf) Poskytuje referenční informace, jak pomocí implementace administrativního rozhraní API v jazyce Java povolit, aby aplikace prováděla administrativní úlohy produktu Tivoli Access Manager. v IBM Tivoli Access Manager WebSEAL Developer s Reference SC (amweb41_devref.pdf) Poskytuje informace o administrativě a programování CDAS (Cross-domain Authentication Service), CDMF (Cross-domain Mapping Framework) a modulu Odolnosti hesla. Technické dodatky Související v IBM Tivoli Access Manager Command Reference GC (am41_cmdref.pdf) Poskytuje informace o obslužných programech příkazového řádku a skriptech, které jsou součástí produktu Tivoli Access Manager. v IBM Tivoli Access Manager Error Message Reference SC (am41_error_ref.pdf) Obsahuje vysvětlení a doporučované akce pro zprávy, které vydává produkt Tivoli Access Manager. v IBM Tivoli Access Manager Problem Determination Guide GC (am41_pdg.pdf) Obsahuje informace napomáhající určení problému pro produkt Tivoli Access Manager. v IBM Tivoli Access Manager Performance Tuning Guide SC (am41_perftune.pdf) Poskytuje informace o ladění výkonnosti pro prostředí obsahující produkt Tivoli Access Manager, ve kterém je IBM Directory server nadefinován jako registr uživatelů. publikace Tato část obsahuje seznam publikací, souvisejících s knihovnou produktu Tivoli Access Manager. Tivoli Software Library obsahuje celou řadu publikací týkajících se produktů Tivoli, jako např. dokumenty typu white paper, základní informace o produktech, demonstrační materiály, xiv IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

17 tzv. redbooky a informace o ohlášení. Tivoli Software Library je k dispozici na této webové adrese: Obsahem Tivoli Software Glossary jsou definice mnoha technických termínů, vztahujících se k softwaru Tivoli. Tivoli Software Glossary je k dispozici pouze v anglickém jazyce na odkazu Glossary v levé části webové stránky Tivoli Software Library IBM Global Security Toolkit Produkt Tivoli Access Manager umožňuje šifrování dat pomocí produktu IBM Global Security Toolkit (GSKit). GSKit se dodává na CD-ROM IBM Tivoli Access Manager Base pro vaši určitou platformu. Sada programů GSKit instaluje obslužný program pro správu klíčů ikeyman (gsk5ikm), který vám dovolí vytvořit databáze klíčů, páry klíčů veřejný-soukromý a žádosti o certifikát. Následující dokument je k dispozici na webovém serveru Tivoli Information Center, a to ve stejné části jako dokumentace produktu IBM Tivoli Access Manager: v Secure Sockets Layer Introduction and ikeyman User s Guide (gskikm5c.pdf) Obsahuje informace pro síťové nebo systémové administrátory, kteří chtějí aktivovat SSL komunikaci v prostředí produktu Tivoli Access Manager. IBM DB2 Universal Database Produkt IBM DB2 Universal Database je vyžadován, pokud instalujete server IBM SecureWay Directory, nebo server z/os a OS/390 SecureWay LDAP. DB2 se dodává na produktových CD-ROM pro následující operační systémy: v IBM AIX v Microsoft Windows v Sun Solaris Operating Environment Informace o DB2 jsou k dispozici na následující webové stránce: IBM Directory Server Produkt IBM Directory Server verze 4.1 je součástí CD-ROM s názvem IBM Tivoli Access Manager Base CD, a to pro všechny platformy kromě operačního systému Linux pro platformu zseries. Software IBM Directory Server pro operační systém Linux pro platformu S/390 můžete získat na této webové stránce: Pokud chcete používat IBM Directory Server jako váš registr uživatelů, prohlédněte si informace na této webové stránce: IBM WebSphere Application Server IBM WebSphere Application Server, Advanced Single Server Edition je součástí CD-ROM Web Portal Manager a je nainstalován současně s rozhraním Web Portal Manager. Další informace o produktu IBM WebSphere Application Server najdete na následujícím webovém serveru: Úvod xv

18 IBM Tivoli Access Manager for Business Integration Produkt IBM Tivoli Access Manager for Business Integration je k dispozici jako samostatně objednatelný produkt. Nabízí řešení zabezpečení pro zprávy z produktů IBM MQSeries verze 5.2 a IBM WebSphere MQ for Version 5.3. Produkt IBM Tivoli Access Manager for Business Integration umožňuje, aby aplikace WebSphere MQSeries posílala data diskrétně a neporušeně pomocí klíčů, které jsou přidruženy k odesílacím a přijímajícím aplikacím. Stejně jako produkt WebSEAL a produkt IBM Tivoli Access Manager for Operating Systems, tak i produkt IBM Tivoli Access Manager for Business Integration je jedním ze správců zdrojů, který používá autorizační služby produktu IBM Tivoli Access Manager for e-business. Níže uvedené dokumenty, které se týkají produktu IBM Tivoli Access Manager for Business Integration verze 4.1, jsou k dispozici na webové stránce Tivoli Information Center: v IBM Tivoli Access Manager for Business Integration Administrator s Guide (SC ) v IBM Tivoli Access Manager for Business Integration Release Notes (GI ) v IBM Tivoli Access Manager for Business Integration Read Me First (GI ) IBM Tivoli Access Manager for Operating Systems Produkt IBM Tivoli Access Manager for Operating Systems je k dispozici jako samostatně objednatelný produkt. Pro UNIXové systémy nabízí další úroveň pro vymáhání politiky autorizace k původní úrovni vlastního operačního systému. Produkt IBM Tivoli Access Manager for Operating Systems je stejně jako produkty WebSEAL a IBM Tivoli Access Manager for Business Integration jedním ze správců zdrojů, kteří používají autorizační služby produktu IBM Tivoli Access Manager for e-business. Níže uvedené dokumenty, které se týkají produktu IBM Tivoli Access Manager for Operating Systems verze 4.1, jsou k dispozici na webové stránce Tivoli Information Center: v IBM Tivoli Access Manager for Operating Systems Installation Guide (SC ) v IBM Tivoli Access Manager for Operating Systems Administration Guide (SC ) v IBM Tivoli Access Manager for Operating Systems Problem Determination Guide (SC ) v IBM Tivoli Access Manager for Operating Systems Release Notes (GI ) v IBM Tivoli Access Manager for Operating Systems Read Me First (GI ) Online přístup k publikacím Publikace pro tento produkt jsou k dispozici v online verzi ve formátu PDF (Portable Document Format) nebo HTML (Hypertext Markup Language), případně v obou v knihovně Tivoli Software Library: Chcete-li v knihovně nalézt publikace produktu, klepněte na odkaz Product manuals v levé části stránky Library. Pak najděte na stránce Tivoli Software Information Center jméno produktu a klepněte na ně. Publikace produktu obsahují poznámky k jednotlivým vydáním, průvodce instalací, průvodce uživatele, průvodce administrátora a reference pro vývojáře. Poznámka: Pokud chcete vytisknout PDF publikace, zaškrtněte pole Fit to page v dialogu Print produktu Adobe Acrobat (ke kterému se dostanete, pokud klepnete na File Print). xvi IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

19 Dostupnost Objednání publikací Mnohé z Tivoli publikací si můžete online objednat na následujícím webovém serveru: publications/cgibin/pbi.cgi Můžete si je také objednat telefonicky na těchto telefonních číslech: v ve Spojených státech: v v Kanadě: v seznam telefonních čísel pro ostatní země najdete na této webové stránce: Funkce dostupnosti pomáhají uživateli s tělesným postižením, jako např. se sníženou pohyblivostí nebo omezeným viděním, úspěšně používat softwarové produkty. Pomocí těchto produktů můžete používat asistenční technologie, prostřednictvím kterých můžete poslouchat a navigovat rozhraní. Můžete také používat klávesnici místo myši pro obsluhu všech funkcí grafického uživatelského rozhraní. Kontakt na softwarovou podporu Než se obrátíte na Softwarovou podporu IBM Tivoli se svým problémem, podívejte se na stránku podpory softwaru IBM Tivoli na této webové adrese: Pokud budete potřebovat další pomoc, obraťte se na softwarovou podporu způsobem, který je popsán v příručce IBM Software Support Guide na této webové adrese: Průvodce poskytuje následující informace: v požadavky na registraci a způsobilost pro obdržení podpory v telefonní čísla a adresy elektronické pošty v závislosti na zemi, ve které pracujete v jaké informace je nutné shromáždit, než se obrátíte na Zákaznickou podporu Konvence používané v této knize Tato příručka používá několik grafických konvencí pro speciální termíny a akce, a příkazy a cesty závislé na operačním systému. Konvence typu písma V této knize jsou použity tyto konvence typu písma: tučné písmo Příkazy uvedené malými písmeny nebo smíšeně malými i velkými písmeny, které je těžké odlišit od okolního textu, klíčová slova, parametry, volby a jména tříd Javy a objekty jsou uvedeny tučným písmem. kurzíva Proměnné, názvy publikací a speciální slova nebo fráze, které je nutné zdůraznit, jsou vyznačeny kurzívou. monospace Příklady kódů, příkazové řádky, výstupy na obrazovku, jména souborů a adresářů, která je těžké odlišit od okolního textu, systémové zprávy, text, který musí uživatel správně zadat, a hodnoty argumentů nebo voleb příkazů jsou vyznačeny pomocí monospace. Úvod xvii

20 Rozdíly v operačních systémech Tato kniha používá konvence operačního systému UNIX ve specifikacích proměnných prostředí a v zápisu adresářů. Pokud používáte příkazový řádek operačního systému Windows, nahraďte $proměnná za %proměnná% v proměnných prostředích a nahraďte každé lomítko (/) lomítkem zpětným (\) v cestách k adresářům. Pokud používáte nadstavbu bash v operačním systému Windows, můžete používat konvence operačního systému UNIX. xviii IBM Tivoli Access Manager: WebSEAL: Průvodce administrátora

21 Kapitola 1. Přehled produktu IBM Tivoli Access Manager WebSEAL Produkt IBM Tivoli Access Manager for e-business (Tivoli Access Manager) je robustní a bezpečné řešení centralizované správy politik pro aplikace elektronického obchodu a distribuované aplikace. Produkt IBM Tivoli Access Manager WebSEAL je vysoce výkonný vícevláknový webový server, který aplikuje jemně strukturovanou bezpečnostní politiku na prostor chráněných webových objektů produktu Tivoli Access Manager. Server WebSEAL může nabídnout řešení pro jednotné přihlášení a zahrnout zdroje webových aplikačních serverů typu back-end do své bezpečnostní politiky. Tato přehledová kapitola vám představí hlavní schopnosti serveru WebSEAL. Seznam témat: v Úvod do produktů IBM Tivoli Access Manager a WebSEAL na stránce 1 v Vysvětlení bezpečnostního modelu produktu Tivoli Access Manager na stránce 3 v Ochrana webového prostoru pomocí serveru WebSEAL na stránce 6 v Plánování a implementace bezpečnostní politiky na stránce 8 v Vysvětlení autentizace serveru WebSEAL na stránce 9 v Vysvětlení spojení WebSEAL na stránce 12 Úvod do produktů IBM Tivoli Access Manager a WebSEAL IBM Tivoli Access Manager: Produkt IBM Tivoli Access Manager je úplné řešení správy bezpečnostní politiky autorizace i sítě, které nabízí dosud nepřekonanou ochranu zdrojů typu end-to-end (tj. ochranu přes všechny úrovně v hierarchii systému) v geograficky rozptýlených intranetech a extranetech. Kromě této nejmodernější funkce pro správu bezpečnostní politiky produkt Tivoli Access Manager podporuje autentizaci, autorizaci, zabezpečení dat a centralizovanou správu zdrojů. Produkt Tivoli Access Manager můžete používat společně se standardními aplikacemi založenými na Internetu, abyste vybudovali vysoce zabezpečené a dobře spravované intranety. Ve svém jádru produkt Tivoli Access Manager poskytuje: v základní strukturu autentizace Produkt Tivoli Access Manager nabízí řadu zabudovaných autentizátorů a podporuje externí autentizátory. v základní strukturu autorizace Autorizační služba produktu Tivoli Access Manager, ke které je možné přistupovat prostřednictvím autorizačního rozhraní API Tivoli Access Manager, poskytuje pro žádosti o přístup ke chráněným zdrojům umístěným v zabezpečené doméně rozhodnutí povolit nebo odepřít přístup. S pomocí produktu Tivoli Access Manager je možné bezpečně řídit přístup k soukromým interním zdrojům umístěným na síti za současného rozšíření o širokou propojitelnost a snadnost použití veřejného Internetu. Produkt Tivoli Access Manager v kombinaci s firemním systémem firewallů může úplně chránit celopodnikovou intranetovou síť před neoprávněným přístupem a narušením. Copyright IBM Corp. 1999,